Olay müdahalesi, bir kuruluşun saldırı veya ihlalin sonuçlarını (“olay”) yönetme girişimi de dahil olmak üzere, bir kuruluşun bir veri ihlali veya siber saldırıyı ele aldığı süreci tanımlamak için kullanılan bir terimdir. Nihai olarak amaç, hasarın sınırlandırılması ve hem kurtarma süresi hem de maliyetlerin yanı sıra marka itibarı gibi ikincil hasarların minimumda tutulması için olayı etkin bir şekilde yönetmektir.
Kuruluşlar, en azından, yerinde açık bir olay müdahale planına sahip olmalıdır. Bu plan, şirket için neyin bir olay teşkil ettiğini tanımlamalı ve bir olay meydana geldiğinde izlenecek açık, rehberli bir süreç sağlamalıdır. Ayrıca, hem genel olay müdahale girişimini yönetmekten hem de olay müdahale planında belirtilen her bir eylemi gerçekleştirmekle görevli ekiplerin, çalışanların veya liderlerin belirtilmesi önerilir.
Olay Yanıtlarını Kim İşleyecek?
Tipik olarak, olay müdahalesi, bir kuruluşun siber olay müdahale ekibi olarak da bilinen bilgisayar olay müdahale ekibi (CIRT) tarafından gerçekleştirilir. CIRT’ler genellikle güvenlik ve genel BT personeli ile hukuk, insan kaynakları ve halkla ilişkiler departmanlarının üyelerinden oluşur. Gartner’ın tanımladığı gibi, bir CIRT, “önemli güvenlik riskleriyle karşı karşıya kalan işletmelerde güvenlik ihlallerine, virüslere ve diğer potansiyel olarak felakete yol açabilecek olaylara yanıt vermekten sorumlu olan bir gruptur. Belirli tehditlerle başa çıkabilen teknik uzmanlara ek olarak, bu tür olayların ardından kurum yöneticilerine uygun iletişim konusunda rehberlik edebilecek uzmanları da içermelidir.”
Etkili Olay Müdahale İçin Altı Adım:
- Hazırlık: Olay müdahalesinin en önemli aşaması, kaçınılmaz bir güvenlik ihlaline hazırlanmaktır. Hazırlık, kuruluşların CIRT’lerinin bir olaya ne kadar iyi yanıt verebileceklerini belirlemelerine yardımcı olur ve politika, müdahale planı/stratejisi, iletişim, dokümantasyon, CIRT üyelerinin belirlenmesi, erişim kontrolü, araçlar ve eğitimi içermelidir.
- Tanımlama: Tanımlama, ideal olarak hızlı müdahaleyi sağlamak ve dolayısıyla maliyetleri ve zararları azaltmak için olayların tespit edildiği süreçtir. Bu etkili olay müdahalesi adımı için BT personeli, olayları ve kapsamlarını tespit etmek ve belirlemek için günlük dosyalarından, izleme araçlarından, hata mesajlarından, izinsiz giriş tespit sistemlerinden ve güvenlik duvarlarından olayları toplar.
- Sınırlama: Bir olay tespit edildiğinde veya tanımlandığında, onu kontrol altına almak en önemli önceliktir. Sınırlamanın temel amacı, hasarı kontrol altına almak ve daha fazla hasarın oluşmasını önlemektir (ikinci adımda belirtildiği gibi, olaylar ne kadar erken tespit edilirse, hasarı en aza indirmek için o kadar erken kontrol altına alınabilirler). Özellikle “kovuşturma için daha sonra gerekebilecek herhangi bir delilin yok edilmesini önlemek” için, sınırlama aşamasında SANS’ın tavsiye ettiği tüm adımların atılması gerektiğini belirtmek önemlidir. Bu adımlar, kısa vadeli sınırlama, sistem yedekleme ve uzun vadeli sınırlamayı içerir.
- Eradikasyon: Eradikasyon, tehdidin ortadan kaldırılmasını ve etkilenen sistemlerin ideal olarak veri kaybını en aza indirirken önceki durumlarına geri yüklenmesini içeren etkin olay müdahalesi aşamasıdır. Kötü niyetli içeriğin kaldırılmasının yanı sıra etkilenen sistemlerin tamamen temiz olmasını sağlayan önlemler de dahil olmak üzere, bu noktaya kadar uygun adımların atıldığından emin olmak, yok etme ile ilgili ana eylemlerdir.
- Kurtarma: Yeniden bulaşmadıklarını veya tehlikeye girmediklerini doğrulamak için sistemleri tekrar üretime koyarken test etme, izleme ve doğrulama, olay müdahalesinin bu adımıyla ilişkili ana görevlerdir. Bu aşama aynı zamanda operasyonları geri yüklemek için zaman ve tarih açısından karar vermeyi, güvenliği ihlal edilmiş sistemleri test etmeyi ve doğrulamayı, anormal davranışları izlemeyi ve sistem davranışını test etmek, izlemek ve doğrulamak için araçları kullanmayı içerir.
- Alınan Dersler: Alınan dersler, olay müdahalesinin kritik bir aşamasıdır çünkü gelecekteki olay müdahale çabalarını eğitmeye ve iyileştirmeye yardımcı olur. Bu, kuruluşlara olay sırasında kaçırılmış olabilecek bilgilerle olay müdahale planlarını güncelleme fırsatı ve ayrıca gelecekteki olaylar için bilgi sağlamak için eksiksiz belgeler sağlayan adımdır. Alınan dersler raporları, olayın tamamının net bir incelemesini sağlar ve özet toplantıları, yeni CIRT üyeleri için eğitim materyalleri veya karşılaştırma için karşılaştırma ölçütü olarak kullanılabilir.
Doğru hazırlık ve planlama, etkili olay müdahalesinin anahtarıdır. Kesin bir plan ve eylem planı olmadan, bir ihlal veya saldırı meydana geldikten sonra etkin müdahale çabalarını koordine etmek için genellikle çok geç kalınmıştır. Kapsamlı bir olay müdahale planı oluşturmak için zaman ayırmak, kaçınılmaz bir ihlal meydana geldiğinde sistemleriniz ve verileriniz üzerindeki kontrolü hemen yeniden kazanmanızı sağlayarak şirketinize önemli ölçüde zaman ve para tasarrufu sağlayabilir.